戦国IT - 情報処理技術者試験の過去問対策サイト
ブログお知らせお問い合わせ料金プラン

ITパスポート 2017年 秋期 70


問題文

ゼロデイ攻撃のような未知の脅威からシステムを守るための、振る舞い検知の技術に関する記述として、適切なものはどれか。

選択肢

PCが一定時間、操作されていないことを検知し、画面を自動的に暗くしたり、変化する画像を表示したりする。
Webサイトにおいて、誤ったパスワードの入力が連続し、定められた回数を超えたことを検知したら、そのアカウントを利用停止にする。
プログラムの動きを常時監視し、意図しない外部への通信のような不審な動きを発見したときに、その動きを阻止する。(正解)
利用者がWebページに入力した内容に、処理の誤動作を招く有害な文字列を発見したら、無害な文字列に置き換える。

🔒 解説は解答すると表示されます

ゼロデイ攻撃など未知の脅威から守る「振る舞い検知」の技術に関する記述【ITパスポート 解説】

正解の理由

選択肢の中で、振る舞い検知(behavioral detection:ソフトやプロセスの「動き」を監視して不審な動作を見つける技術)を正しく説明しているのは です。
振る舞い検知は、プログラムの実際の動作を常時観察して、通常と異なる動き(例:意図しない外部への通信や異常なファイル操作)を見つけたら阻止・警告します。これはゼロデイ攻撃(zero‑day attack:未公開・未修正の脆弱性を悪用する攻撃)など、既知の署名(シグネチャ)が存在しない未知の脅威にも対応できる点が特徴です。したがって、プログラムの不審な挙動を検出し阻止する が適切です。
(補足用語:シグネチャ検知=既知の悪意あるソフトの「指紋」を照合して検出する方法。振る舞い検知は「指紋が無くても動きで判断する」方法です。)

解法ステップ

  1. 問題文で重要な語句を見つける:「ゼロデイ攻撃」「未知の脅威」「振る舞い検知」。
  2. 「振る舞い検知」が何をする技術かをイメージする。→ プログラムの「動き」を監視する技術。
  3. 各選択肢を「動きを監視して不審を阻止するか」で照らし合わせる。
  4. 該当するものだけを残し、他は別の技術(スクリーンセーバ、アカウントロック、入力の無害化)であると判断する。

選択肢別の誤答解説

  • ア: PCが一定時間操作されていないことを検知し画面を暗くする。
    → これは「アイドル検知」やスクリーンセーバの説明で、セキュリティ目的でもあるが振る舞い検知ではありません。プログラムの不審な動作を監視する技術ではありません。
  • イ: 誤ったパスワードの入力が連続したらアカウントを停止する。
    → これは「アカウントロックアウト」やブルートフォース(総当たり)対策の説明です。振る舞い検知ではなく、ログイン試行の回数を基にした制御です。
  • : プログラムの動きを常時監視し、意図しない外部への通信のような不審な動きを発見したときに、その動きを阻止する。
    → これが正しい説明です。振る舞い検知は、未知のマルウェアやゼロデイ攻撃の振る舞いをもとに検出・防御できるため、ここに合致します。
  • エ: 利用者がWebページに入力した内容に有害な文字列を発見したら無害な文字列に置き換える。
    → これは「入力検証」や「サニタイズ(sanitization:無害化)」、クロスサイトスクリプティング(XSS)対策などの説明です。振る舞い検知とは役割が異なります。

よくある誤解

  1. 振る舞い検知=すべての攻撃を完全に止める、と思う誤解。
    → 実際は効果的ですが、誤検知(安全な動作を悪と判定する)や見落としもあり、他の対策(パッチ適用、アクセス制御)と組み合わせる必要があります。
  2. 振る舞い検知は常にネットワークを遮断する、という誤解。
    → 多くの製品は「警告」「隔離」「通信遮断」など複数の対応モードを持ちます。全自動で即遮断するかどうかは設定次第です。
  3. 署名ベースの検知と振る舞い検知を同じものだと考える誤解。
    → 署名検知は既知の攻撃に強い一方、振る舞い検知は未知の攻撃に強い、という違いがあります。両者は補完関係です。

補足コラム

  • 振る舞い検知の実装例として「EDR(Endpoint Detection and Response:端末の検出と対応)」があります。EDRは各PCやサーバ(サービスを提供するコンピュータ)の振る舞いを監視し、異常時にログを集めて対応します。
  • ゼロデイ攻撃は「まだ修正プログラム(パッチ)が出ていない脆弱性を突く攻撃」です。署名が存在しないため、振る舞いを見て判断する手法が有効になります。
  • 振る舞い検知は「正常な振る舞いの基準(ベースライン)」を学習して、そこからの逸脱を検知することも多いです。そのため最初の学習期間に注意が必要です。

FAQ

Q1: 振る舞い検知だけで安全になりますか?
A1: いいえ。振る舞い検知は強力ですが、パッチ管理、アクセス制御、バックアップなど他の基本対策と組み合わせる必要があります。
Q2: 振る舞い検知は誤検知が多いですか?
A2: 設定や学習精度によります。誤検知はあり得るため、運用ポリシーで「検知のみ」や「自動遮断あり」など使い分けます。
Q3: 署名検知と振る舞い検知はどちらが良い?
A3: どちらも重要です。署名検知は既知の脅威に迅速で軽量、振る舞い検知は未知の脅威に有効です。両方を併用するのが一般的です。

関連キーワード: ゼロデイ攻撃、振る舞い検知、振る舞い分析、EDR、シグネチャ検知、入力サニタイズ、アカウントロックアウト、未知の脅威、外部通信の監視
← 前の問題へこの年度をクイズで解く次の問題へ →
戦国ITクイズ機能

\ せっかくなら /

ITパスポート
クイズ形式で学習しませんか?

クイズ画面へ遷移する

すぐに利用可能!

©︎2026 情報処理技術者試験対策アプリ

このサイトについてブログプライバシーポリシー利用規約特商法表記開発者について